Trojaner-Board - Internet Explorer/Firefox öffnet automatisch Werbung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internet Explorer/Firefox öffnet automatisch Werbung (https://www.trojaner-board.de/86388-internet-explorer-firefox-oeffnet-automatisch-werbung.html)

Gut. Dann mach mal jetzt einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok hab alles ausgeführt. Hier das log-file

Combofix Logfile:

Code:

ComboFix 10-05-28.02 - * 26.05.2010  11:51:13.1.1 - x86

ausgeführt von:: c:\dokumente und einstellungen\All Users\Desktops\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922C.manifest

c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922O.manifest

c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922P.manifest

c:\dokumente und einstellungen\*\Anwendungsdaten\020000009f4d3e7e922S.manifest

c:\programme\Mozilla Firefox\components\npclntax.xpt

c:\windows\Downloaded Program Files\f3initialsetup1.0.0.15-3.inf

c:\windows\system32\system.dat

c:\windows\system32\Vb40032.dll
 

Infizierte Kopie von c:\windows\system32\drivers\tcpip.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-04-26 bis 2010-05-26  ))))))))))))))))))))))))))))))

.
 

2010-05-26 11:30 . 2010-05-26 11:30        --------        d-----w-        c:\programme\CCleaner

2010-05-26 11:30 . 2010-05-26 11:30        --------        d-----w-        C:\_OTL

2010-05-24 10:31 . 2010-05-24 10:31        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes

2010-05-24 10:31 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-24 10:31 . 2010-05-24 10:31        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-05-24 10:31 . 2010-05-24 10:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-05-24 10:31 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-05-24 10:17 . 2010-05-26 11:01        823808        ----a-w-        c:\windows\system32\drivers\ztnfxdc.sys

2010-05-23 10:13 . 2008-04-13 19:40        34688        ----a-w-        c:\windows\system32\drivers\lbrtfdc.sys

2010-05-23 10:12 . 2008-04-13 19:41        8576        ----a-w-        c:\windows\system32\drivers\i2omgmt.sys

2010-05-23 10:11 . 2008-04-13 19:40        8192        ----a-w-        c:\windows\system32\drivers\changer.sys

2010-05-07 21:15 . 2010-05-07 21:15        --------        d-----w-        c:\programme\ffdshow

2010-05-04 20:50 . 2010-05-04 20:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX

2010-05-04 20:32 . 2010-05-04 20:24        --------        d-----w-        c:\windows\SxsCaPendDel

2010-04-30 21:00 . 2010-04-30 21:00        --------        d-----w-        c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\PIXELA
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-26 11:42 . 2008-10-08 13:35        --------        d-----w-        c:\programme\Mozilla Thunderbird

2010-05-26 11:40 . 2007-05-18 14:17        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\Launchy

2010-05-26 11:39 . 2000-01-20 12:59        58064        -c--a-w-        c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-05-26 10:53 . 2007-08-21 08:02        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\Free Download Manager

2010-05-24 10:14 . 2007-09-04 16:41        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\gtk-2.0

2010-05-23 10:19 . 2008-10-11 17:03        1        ----a-w-        c:\dokumente und einstellungen\*\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-05-18 09:24 . 2008-09-01 12:36        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\tunebite

2010-05-09 08:30 . 2009-07-31 19:54        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\vlc

2010-05-04 20:53 . 2010-05-04 20:53        57344        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll

2010-05-04 20:50 . 2010-05-04 20:53        1180952        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe

2010-05-04 20:31 . 2010-02-15 09:18        --------        d-----w-        c:\programme\Franzis

2010-05-04 20:31 . 2007-08-09 10:54        --------        d-----w-        c:\programme\DivX

2010-04-08 15:23 . 2009-11-07 13:43        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\Skype

2010-04-08 14:56 . 2008-05-12 09:37        --------        d-----w-        c:\dokumente und einstellungen\*\Anwendungsdaten\skypePM

2010-03-31 08:01 . 2005-10-30 11:34        --------        d-----w-        c:\programme\mg9

2010-03-30 22:18 . 2010-03-30 22:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype

2010-03-21 21:22 . 2010-03-21 21:11        256        ----a-w-        c:\windows\system32\pool.bin

2010-03-11 12:31 . 2001-08-18 12:00        832512        ----a-w-        c:\windows\system32\wininet.dll

2010-03-11 12:31 . 2000-01-20 12:16        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-03-11 12:31 . 2001-08-18 12:00        17408        ----a-w-        c:\windows\system32\corpol.dll

2010-03-09 11:09 . 2001-08-18 12:00        430080        ----a-w-        c:\windows\system32\vbscript.dll

2010-03-08 17:59 . 2010-03-08 17:59        94208        ----a-w-        c:\windows\system32\dpl100.dll

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.drv120405.dat

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.data211204.dat

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.data211004.dat

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.data110704.dat

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.dat000002.dat

2009-10-08 11:06 . 2009-10-08 11:06        8        --sh--w-        c:\programme\.dat000001.dat

2005-05-13 16:12 . 2005-05-13 16:12        217073        -csha-r-        c:\windows\meta4.exe

2005-07-14 11:31 . 2005-07-14 11:31        27648        -csha-r-        c:\windows\system32\AVSredirect.dll

2005-06-26 14:32 . 2005-06-26 14:32        616448        -csha-r-        c:\windows\system32\cygwin1.dll

2005-06-21 21:37 . 2005-06-21 21:37        45568        -csha-r-        c:\windows\system32\cygz.dll

2004-01-24 23:00 . 2004-01-24 23:00        70656        --sha-r-        c:\windows\system32\i420vfw.dll

2005-02-28 12:16 . 2005-02-28 12:16        240128        -csha-r-        c:\windows\system32\x.264.exe

2004-01-24 23:00 . 2004-01-24 23:00        70656        --sha-r-        c:\windows\system32\yv12vfw.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Launchy.lnk - c:\programme\Launchy\Launchy.exe [2008-3-15 552960]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\windows\system32\logonui.exe"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]

2005-05-17 16:42        933888        ------w-        c:\programme\Brother\ControlCenter2\brctrcen.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]

2008-05-20 15:27        2474031        ----a-w-        c:\programme\Free Download Manager\fdm.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-10-28 19:21        141600        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-09-05 00:54        417792        ----a-w-        c:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]

2005-01-26 17:02        49152        ------w-        c:\programme\Brother\Brmfl05a\BrStDvPt.exe
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Free Download Manager"="c:\programme\Free Download Manager\fdm.exe" -autorun

"Power2GoExpress"="e:\progs\not much used\CyberLink DVD 7\Power2Go\Power2GoExpress.exe" /Startup

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"PPAP"=c:\dokumente und einstellungen\All Users\Anwendungsdaten\PPLiveVA\Application\PPAP.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"PDVD8LanguageShortcut"="e:\progs\not much used\CyberLink DVD 7\PowerDVD8\Language\Language.exe"

"InstantBurn"=e:\progs\NOTMUC~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe

"IgfxTray"=c:\windows\System32\igfxtray.exe

"HotKeysCmds"=c:\windows\System32\hkcmd.exe

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"

"CLMLServer"="e:\progs\not much used\CyberLink DVD 7\Power2Go\CLMLSvc.exe"

"RemoteControl8"="e:\progs\not much used\CyberLink DVD 7\PowerDVD8\PDVD8Serv.exe"

"PaperPort PTD"=c:\programme\ScanSoft\PaperPort\pptd40nt.exe

"IndexSearch"=c:\programme\ScanSoft\PaperPort\IndexSearch.exe

"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

"P2Go_Menu"="e:\progs\not much used\CyberLink DVD 7\Power2Go\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"

"UpdatePDRShortCut"="e:\progs\not much used\CyberLink DVD 7\DVD Suite\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"

"UpdatePPShortCut"="e:\progs\not much used\CyberLink DVD 7\PowerProducer\MUITransfer\MUIStartMenu.exe" "e:\progs\not much used\CyberLink DVD 7\PowerProducer" update "Software\CyberLink\PowerProducer\5.0"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\system32\\ccapp.exe"=

"c:\\Programme\\MyMDb\\MyMDb.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Media Player\\wmplayer.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [01.01.2010 11:59 15784]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.05.2009 11:00 108289]

R2 CLBUDF;CyberLink InstantBurn UDF Filesystem;c:\windows\system32\drivers\CLBUDF.sys [01.01.2010 11:59 162344]

S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - ztnfxdc
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

.

------- Zusätzlicher Suchlauf -------

.

uSearchMigratedDefaultUrl = 

IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm

IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm

IE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} -

DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - hxxp://install.anark.com/client/version4/windows-ie/en/AMClient.cab

FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\fi1sla89.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?rls=ig

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.notify.interval - 600000

FF - user.js: content.switch.threshold - 600000

FF - user.js: nglayout.initialpaint.delay - 600

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-BlockChecker - c:\programme\Block Checker\block-checker.exe

MSConfigStartUp-ClipIncSrvTray - e:\clipinc\Player\ClipIncTray.exe

MSConfigStartUp-Free Uploader Oe Integration - c:\programme\Free Download Manager\FUM\fumoei.exe

MSConfigStartUp-Microsoft Works Portfolio - c:\programme\Microsoft Works\WksSb.exe

MSConfigStartUp-Microsoft Works Update Detection - c:\programme\Microsoft Works\WkDetect.exe

MSConfigStartUp-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe

MSConfigStartUp-WorksFUD - c:\programme\Microsoft Works\wkfud.exe

AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-05-26 12:01

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ztnfxdc]
 

.

Zeit der Fertigstellung: 2010-05-26  12:18:22

ComboFix-quarantined-files.txt  2010-05-26 11:18
 

Vor Suchlauf: 1.605.591.040 Bytes frei

Nach Suchlauf: 1.629.450.240 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=GMU4ET

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /KERNEL=ntoskvs1.exe /TUTag=GMU4ET-BAK
 

- - End Of File - - 0EE61EC6A4EB1D4515E04356F56CB1B4

--- --- ---

[/HTML]

Bevor ich combofix ausgeführt habe, hab ich anitvir deaktiviert. dann hat er sich jedoch neu gestartet und es kamen (während comofix lief) zwei virenwarnmeldungen, weil anitvir sich beim neustart automatsich gestartet hat. ich hab die dateien in quarantäne.

Ok. Dann probier jetzt mal Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führt nur OSAM aus.

hier schonmal das logfile von gmer:

GMER Logfile:

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-26 12:42:16

Windows 5.1.2600 Service Pack 3

Running: ryrw4bgv.exe; Driver: C:\DOKUME~1\*\LOKALE~1\Temp\pwriypog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8BEC856                                                                                                                                                                               ZwCreateKey

SSDT            F8BEC84C                                                                                                                                                                               ZwCreateThread

SSDT            F8BEC85B                                                                                                                                                                               ZwDeleteKey

SSDT            F8BEC865                                                                                                                                                                               ZwDeleteValueKey

SSDT            F8BEC86A                                                                                                                                                                               ZwLoadKey

SSDT            F8BEC838                                                                                                                                                                               ZwOpenProcess

SSDT            F8BEC83D                                                                                                                                                                               ZwOpenThread

SSDT            F8BEC874                                                                                                                                                                               ZwReplaceKey

SSDT            F8BEC86F                                                                                                                                                                               ZwRestoreKey

SSDT            F8BEC860                                                                                                                                                                               ZwSetValueKey

SSDT            F8BEC847                                                                                                                                                                               ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.pak2           C:\WINDOWS\system32\drivers\ztnfxdc.sys                                                                                                                                                entry point in ".pak2" section [0xF841A4E0]

?               C:\WINDOWS\system32\drivers\ztnfxdc.sys                                                                                                                                                Ein an das System angeschlossenes Gerät funktioniert nicht.

PAGE            Ntfs.sys                                                                                                                                                                               F82D4E55 4 Bytes  CALL 823D6429 
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                                                                                                 82289FE0

Device          \FileSystem\Udfs \UdfsCdRom                                                                                                                                                            CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)

Device          \FileSystem\Udfs \UdfsDisk                                                                                                                                                             CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Cdfs \Cdfs                                                                                                                                                                 CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
 

---- Services - GMER 1.0.15 ----
 

Service          (*** hidden *** )                                                                                                                                                                     [BOOT] ztnfxdc                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Type                                                                                                                                    1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Start                                                                                                                                   0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@ErrorControl                                                                                                                            0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\ztnfxdc@Group                                                                                                                                   Boot Bus Extender

Reg             HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Type                                                                                                                                        1

Reg             HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Start                                                                                                                                       0

Reg             HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@ErrorControl                                                                                                                                0

Reg             HKLM\SYSTEM\ControlSet002\Services\ztnfxdc@Group                                                                                                                                       Boot Bus Extender

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2@P_:}À\xf7\f\0ð!\xa8\3\fïµ\0ú.1}\xbd/1}\xa0o:}øö\f\0X_:}\x2dc\a  ????@A?????????MZ??????????????????????@???????????????????????????????????????????????!??L?!This program cannot be run in DOS mode.   $????????w{???????????????x???????{???????H?????????|???o?h?????o?x?v???o?{???????o???????g???????i???????m?????Rich????????????PE??L???T??H???????????!?????x???r???????????????????????????????????????????????0???????W???????????????????????????????????????v??????????\'??????????????????????????????????????????????????????????????@???????????????p???????????????????????????.text???'v???????x?????????????????? ??`.data???X=???????????|??????????????@???.rsrc????0???????(??????????????????@??@.reloc??R.???????0??????????????????@??B????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Da ist noch ein Rootkit drin. Poste bitte noch das osam Log

hier das osam-logfile:

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

http://www.online-solutions.ru/en/

Saved at 12:09:39 on 26.05.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.0
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~2\avconfig.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"%USB\vid_054c&pid_0155.DeviceDesc%" (ovt519) - "OmniVision Technologies, Inc." - C:\WINDOWS\System32\Drivers\ov519vid.sys

"Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\WINDOWS\System32\Drivers\usbaapl.sys

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"BlackBerry-Smartphone" (RimUsb) - ? - C:\WINDOWS\System32\Drivers\RimUsb.sys  (File not found)

"catchme" (catchme) - ? - C:\DOKUME~1\*\LOKALE~1\Temp\catchme.sys  (File not found)

"CyberLink InstantBurn UDF Filesystem" (CLBUDF) - "CyberLink Corporation." - C:\WINDOWS\system32\drivers\CLBUDF.sys

"DSL-Manager Service" (TSMPacket) - ? - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys  (File not found)

"InstantBurn Storage Helper Driver" (CLBStor) - "Cyberlink Co.,Ltd." - C:\WINDOWS\system32\drivers\CLBStor.sys

"Logitech QuickCam IM(PID_PEPI)" (PID_PEPI) - ? - C:\WINDOWS\System32\DRIVERS\LV302V32.SYS  (File not found)

"Logitech USB Monitor Filter" (LVUSBSta) - ? - C:\WINDOWS\System32\drivers\LVUSBSta.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"TAP VPN Adapter" (tapvpn) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tapvpn.sys

"Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software" - C:\WINDOWS\System32\drivers\tbhsd.sys

"Volume Adapter" (pepifilter) - ? - C:\WINDOWS\System32\DRIVERS\lv302af.sys  (File not found)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

"ztnfxdc" (ztnfxdc) - ? - C:\WINDOWS\system32\drivers\ztnfxdc.sys  (Hidden registry entry, rootkit activity | File not found)
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll

{19741013-C829-11D1-8233-0020AF3E97A9} "Context Menu Shell Extension" - ? -   (File not found | COM-object registry key not found)

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{F49C55B9-D417-45A1-A6E7-D6E057946280} "FdmUplShlExt Class" - ? - C:\Programme\Free Download Manager\FUM\fumshext.dll

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -   (File not found | COM-object registry key not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll

{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll

{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll

{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? -   (File not found | COM-object registry key not found)
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab

{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.5.0_04" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll / http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll / http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

{4F1E5B1A-2A80-42CA-8532-2D05CB959537} "MSN Photo Upload Tool" - "Microsoft® Corporation" - C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll / http://by111fd.bay111.hotmail.msn.com/resources/MsnPUpld.cab

{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Object" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / http://www.apple.com/qtactivex/qtplugin.cab

{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\macromed\Director\SwDir.dll / http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{051D0E35-F4E3-4C8D-B411-AB0875F4C683} "{051D0E35-F4E3-4C8D-B411-AB0875F4C683}" - ? -   (File not found | COM-object registry key not found) / http://install.anark.com/client/version4/windows-ie/en/AMClient.cab

{A8F2B9BD-A6A0-486A-9744-18920D898429} "{A8F2B9BD-A6A0-486A-9744-18920D898429}" - ? -   (File not found | COM-object registry key not found) / http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} "Upload" - ? -   (File not found | COM-object registry key not found)
 

[Logon]

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"ISUSPM" - "Macrovision Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll

"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\WINDOWS\System32\TuneUpDefragService.exe

"TuneUp Program Statistics Service" (TuneUp.ProgramStatisticsSvc) - "TuneUp Software" - C:\WINDOWS\System32\TUProgSt.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit http://forum.online-solutions.ru[/HTML]

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKLM\SYSTEM\ControlSet002\Services\ztnfxdc

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2
 

files to delete:

C:\WINDOWS\system32\drivers\ztnfxdc.sys
 

drivers to delete:

ztnfxdc

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Der Link: h**p://www.file-upload.net/download-2561470/backup.zip.html

HTML-Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Registry key "HKLM\SYSTEM\ControlSet002\Services\ztnfxdc" deleted successfully.

File "C:\WINDOWS\system32\drivers\ztnfxdc.sys" deleted successfully.

Driver "ztnfxdc" deleted successfully.

Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69B89D107E68E7E44A375D232870FEE2" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Ok. Mach bitte ein neues Log mit GMER zur Kontrolle.

hier das neue gmer log:
GMER Logfile:

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-31 20:11:40

Windows 5.1.2600 Service Pack 3

Running: i6h5spry.exe; Driver: C:\DOKUME~1\*\LOKALE~1\Temp\pwriypog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8B39956                     ZwCreateKey

SSDT            F8B3994C                     ZwCreateThread

SSDT            F8B3995B                     ZwDeleteKey

SSDT            F8B39965                     ZwDeleteValueKey

SSDT            F8B3996A                     ZwLoadKey

SSDT            F8B39938                     ZwOpenProcess

SSDT            F8B3993D                     ZwOpenThread

SSDT            F8B39974                     ZwReplaceKey

SSDT            F8B3996F                     ZwRestoreKey

SSDT            F8B39960                     ZwSetValueKey

SSDT            F8B39947                     ZwTerminateProcess
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Udfs \UdfsCdRom  CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)

Device          \FileSystem\Udfs \UdfsDisk   CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
 

AttachedDevice  \FileSystem\Fastfat \Fat     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Cdfs \Cdfs       CLBUDF.SYS (UDF File System Driver /CyberLink Corporation.)
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Rootkit ist weg, sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

HIer schon mal das malwarbytes log:

HTML-Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4168
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

04.06.2010 21:18:47

mbam-log-2010-06-04 (21-18-47).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|I:\|)

Durchsuchte Objekte: 423558

Laufzeit: 9 Stunde(n), 52 Minute(n), 54 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hier noch das andere log-file (kommt verspätet da ich die letzten tage verhindert war):

HTML-Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 06/08/2010 at 11:12 PM
 

Application Version : 4.38.1004
 

Core Rules Database Version : 5045

Trace Rules Database Version: 2857
 

Scan type       : Complete Scan

Total Scan Time : 00:30:56
 

Memory items scanned      : 407

Memory threats detected   : 0

Registry items scanned    : 5853

Registry threats detected : 2

File items scanned        : 309369

File threats detected     : 4
 

Adware.Zango Toolbar/Hb

        HKLM\Software\ZangoToolbar

        HKLM\Software\ZangoToolbar\ZangoToolbar
 

Adware.Flash Tracking Cookie

        C:\Dokumente und Einstellungen\*\Anwendungsdaten\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\7BQUVV5U\IA.MEDIA-IMDB.COM
 

Trojan.Agent/Gen-Krpytik

        C:\WESTWOOD\MONOPOLY\DLG_GER.DLL
 

Trojan.Agent/Gen-Cryptor

        C:\_OTL\MOVEDFILES\05262010_123016\C_DOKUMENTE UND EINSTELLUNGEN\*\LOKALE EINSTELLUNGEN\TEMP\DN1EFYWU8.EXE
 

Trojan.Smitfraud Variant-Gen/Bensorty

        C:\_OTL\MOVEDFILES\05262010_123016\C_WINDOWS\SYSTEM32\T3JHO1.DLL

Waren nur einige Überbleibsel. Rechner wieder ok?

Ja alles wieder ok, jedenfalls hab ich soweit keine probleme mehr.

Vielen vielen Dank, du hast mir wirklich sehr geholfen. Danke.

Aber noch eine frage: Soll ich die passwörter der accounts ändern, die ich während der zeit benutzt habe, oder ist das nicht nötig?